Defaults.Exposed › 报告
错误配置名人堂:Web 上最离奇的安全记录(2026)
发布于 2026-06-29
数据截至 2026-06-29 · 方法论 v7。 涵盖 261 百万个已评级域名的汇总普查数据。下方每个数字都是真实、反复出现的模式——并非一次性个案。参见我们如何评级。
大多数安全失误都很无聊:某个设置没有开启。少数则确实令人发笑——相当于把楼交付出去时窗户上还挂着「在此插入租户名称」的牌子的数字化版本。 我们评级了 261 百万个域名;以下是让我们看了两遍的纪录。
1. 没人改名的证书
当你使用 OpenSSL 的默认提示生成 TLS 证书并直接按回车时,组织名称会变成一个占位符。这些占位符本应在上线前被替换。但它们没有:
| 在线证书上的「颁发者」名称 | 站点数 |
|---|---|
| Internet Widgits Pty Ltd | 244,468 |
| MyCompany Inc. | 226,830 |
| TRAEFIK DEFAULT CERT | 108,348 |
| localhost | 106,086 |
「Internet Widgits Pty Ltd」 是 OpenSSL 示例配置中字面意义上的默认值——而 244,468 个公开站点正在提供盖着这个名字的证书。在所有明显的占位符和默认名称中,685,732 个站点从未更换那块牌子。它们每一个还都是自签名的,因此访问者会收到浏览器警告——它们同时提供了占位符和错误。
2. DMARC,迷失在翻译中
DMARC 策略只有在它准确写为 p=none、p=quarantine 或 p=reject 时才有效。48,648 个域名发布了其他内容——策略词拼写错误,或者完全用另一种语言书写(实时数据中包含「none」的西班牙语、法语和葡萄牙语写法)。意图是对的;确切拼写却不对——而 DMARC 只接受英文关键词,所以它们全都提供零保护。(包含计数的完整最新列表:互联网上最常见的 DMARC 拼写错误。)
3. SPF 的欢迎门垫
SPF 的全部职责就是说明哪些服务器可以代表你发送邮件。36,014 个域名以 +all 结束其记录——这意味着恰恰相反:「互联网上的任何服务器都被授权以我的名义发送。」 这相当于把钥匙用胶带粘在门上的安全做法。另有 7,958 个域名因超出 10 次 DNS 查询的限制而悄悄破坏了它们的 SPF,使其完全失效。(更多:SPF 错误配置报告。)
4. 荣誉提名:数百万的自签名
除了那些好笑的名字之外,3,378,080 个站点提供自签名证书——一种它们颁发给自己、而浏览器拒绝接受的证书。通常是一台路由器、一台测试机,或一个意外被指向公共互联网、却从未获得真正证书的内部工具。
这些好笑的案例有什么共同点
这里的每一条都与那些无聊的失误有着相同的根本原因:一个未触碰的默认值、一个被跳过的步骤、一次未完成的复制粘贴。网络不会戏剧性地失败——它因惯性而失败,一次一个未改名的占位符。好的一面是:其中每一个都是五分钟就能搞定的修复。
常见问题
为什么这么多证书写着「Internet Widgits Pty Ltd」? 这是 OpenSSL 示例配置中的默认组织名称。当某人生成证书并接受默认值时,那个占位符就会出现在在线证书上。244,468 个公开站点从未更改它。
用另一种语言写的 DMARC 策略有任何作用吗?
没有。DMARC 只识别确切的关键词 none、quarantine 和 reject。策略词拼写错误或用另一种语言书写的记录是无效的,会被忽略——该域名仍然可被冒充。
SPF +all 有什么作用? 它授权互联网上的每一台服务器以你的域名发送邮件——比根本没有 SPF 还糟糕。36,014 个域名有这个设置,几乎总是出于失误。
这些是罕见的边缘情况吗? 不是——每一个都涉及数十万到数百万个域名,在 261 百万个域名的普查中被一致地发现。它们是常见的默认值,而非离奇的意外。
确保你的域名不会出现在下一期中
其中大多数都是一行就能搞定的修复。私密且免费地检查你的域名——以互联网看到它们的方式查看你的证书、DMARC 和 SPF。
检查你的域名 → · DMARC 拼写错误 → · SPF 错误配置报告 → · 证书错误报告 → · 仅限汇总数据。数据存储和处理在欧盟境内进行。